analisando eventos de forma inteligente para detecção de intrusos usando elk
TRANSCRIPT
![Page 1: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/1.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC)
Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK
![Page 2: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/2.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
About me
• Pesquisador / SOC Clavis Security • Autor de 2 pesquisas com patente requerida/
concebida • Palestrante diversos eventos Brasil, EUA e Canadá • Evangelista Opensource • Usuário linux desde 1996 • Pai • Triatleta / Corredor trilhas
![Page 3: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/3.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Agenda
• Atual problema na detecção • Escolhendo os data sources • Entendendo a pilha ELK • Gerando métricas e inteligência • Deixando chefe feliz (Relatórios / Dashboards)
![Page 4: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/4.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Problemas na detecção
![Page 5: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/5.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Orçamento
![Page 6: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/6.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Maria Gartner
![Page 7: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/7.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Quantidade e não qualidade
![Page 8: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/8.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda o contexto
![Page 9: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/9.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Escolhendo os data sources
![Page 10: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/10.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
O que já possuímos ?
• Produtos instalados na empresa • Aquisições já programadas • Eventos default dos equipamentos/máquinas
![Page 11: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/11.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rapidez no uso
![Page 12: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/12.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dimensionamento
Quantidade informação
Maior I/O
Mais espaço em disco
Memória / CPU
![Page 13: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/13.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda os eventos
![Page 14: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/14.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
O ELK
![Page 15: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/15.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch Logstash
Kibana
![Page 16: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/16.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash
![Page 17: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/17.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Input
• file • udp / tcp • twitter • netflow • eventlog • irc • exec
![Page 18: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/18.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Filters
• grok • fingerprint • geoip • date • csv • anonymize • throttle
![Page 19: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/19.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Logstash Output
• elasticsearch • email • exec • jira • zabbix • hipchat • amazon(s3)
![Page 20: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/20.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch 1/2
• Open source, distribuido, full text search engine
• Baseado no Apache Lucene
• Rápido acesso a informação
• Salva os dados no formato JSON
• Suporta sistemas com um ou mais nodes
![Page 21: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/21.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Elasticsearch 2/2
• Fácil de configurar e escalável
• Possui uma RESTful API
• Fácil criação snapshots / backups
• Instalação disponível em formato RPM ou DEB, além do tarball.
• Inseguro (precisa ambiente seguro)
![Page 22: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/22.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana
![Page 23: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/23.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Kibana event
![Page 24: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/24.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Métricas e Inteligência
![Page 25: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/25.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Entenda sua empresa
• O que é uma ameaça olhando os data source ?
• Faz uso de algum threat intel público/privado ?
• Quais os entregáveis que quer automatizar/alertar ?
• Reanalisar logs antigos ?
![Page 26: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/26.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
ElastAlert
![Page 27: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/27.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Exemplo regra
27
name: Large Number of 404 Responses es_host: elasticsearch.example.com es_port: 9200 index: logstash-indexname-* filter: - term: response_code: 404 type: frequency num_events: 100 timeframe: hours: 1 alert: - email email: [email protected]
![Page 28: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/28.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Python API
![Page 29: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/29.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Detalhes fazem a diferença
![Page 30: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/30.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
ELK + Inteligência + Métricas
• Análises em lote (retrospectiva)
• Correlação entre diferente data sources
• Gráficos bonitos no kibana para deixar nas TVs =)
• Alertas / Monitoramento
![Page 31: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/31.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Chefe feliz =)
![Page 32: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/32.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dashboard
![Page 33: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/33.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Dashboard
![Page 34: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/34.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Conclusões
• Entenda o que necessita proteger
• Muita informação crua não te trará melhor resultado
• Não seja um “Maria Gartner”
• Entenda plenamente seus logs
• Se não domina alguma ferramenta, procure ajuda
• Sempre aprimore o ciclo, as coisas evoluem
![Page 35: Analisando eventos de forma inteligente para detecção de intrusos usando ELK](https://reader033.vdocuments.com.br/reader033/viewer/2022051501/58a847ae1a28ab210b8b4631/html5/thumbnails/35.jpg)
Copyright © 2015 Clavis Segurança da Informação. Todos os direitos reservados.
Rodrigo “Sp0oKeR” Montoro Pesquisador / Security Operations Center (SOC)
@spookerlabs
Muito Obrigado!